对字符集、编码和宽字节注入的思考

于 2021-05-06 12:17:59 发布
阅读量252 收藏 1
点赞数
分类专栏: 漏洞原理 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/116447687
版权

这篇博文详细介绍宽字节注入以及SQL注入与编码会出现的安全问题:
浅析白盒审计中的字符编码及SQL注入

在此不做搬运工,只做自己的思考和总结。
个人认为学习的正确过程是理解概念、建立概念的关系、推测、实验论证和归纳。

概念:
(1)字符(character)是各种文字和符号的总称,包括各国家文字、标点符号、图形符号、数字等。
(2)字符集(Character set)是多个字符的集合,常见的字符集:ASCII字符集、GB2312字符集、BIG5字符集、 GB18030字符集、Unicode字符集等。

GBK编码,是对GB2312编码的扩展,因此完全兼容GB2312-80标准。GBK编码依然采用双字节编码方案,其编码范围:8140-FEFE(高字节从81到FE,低字节从40到FE),剔除xx7F码位

UTF-8 的编码规则很简单,只有二条:
1)对于单字节的符号,字节的第一位设为0,后面7位为这个符号的 Unicode 码。因此对于英语字母,UTF-8 编码和 ASCII 码是相同的。
2)对于n字节的符号(n > 1),第一个字节的前n位都设为1,第n + 1位设为0,后面字节的前两位一律设为10。剩下的没有提及的二进制位,全部为这个符号的 Unicode 码。

(3)编码(coding)是信息从一种形式或格式转换为另一种形式的过程,也称为计算机编程语言的代码简称编码。有时指编码的过程,有时指编码的结果。
(4)php的iconv函数作用是字符串按要求的字符编码来转换。

iconv ( string $in_charset , string $out_charset , string $str ) : string

返回的结果是转换字符编码后的字符串。
测试一下:

<?php
	$name = $_GET['name'];
	echo urlencode($_GET['name']);    // %E5%92%8C
	echo '<br>';
	$name = iconv('utf-8', 'gbk', $name);
	echo urlencode($name);           // %BA%CD
?>

浏览器访问并执行脚本:
在这里插入图片描述

结果分析:
浏览器对"和"做Unicode编码,所以是三个字节。当执行iconv函数后,字符编码被转换成GBK,因此"和"的编码是两个字节。

MySQL宽字节注入

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query('set names gbk', $conn);
	
	$name=addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
addslashes函数在%27(单引号 ’ )前面插入一个%5c(反斜杠),然后这份数据传递给MySQL。因为MySQL执行了set names gbk,这句代码做了三件事:

set character_set_connection=gbk;
set character_set_results=gbk;
set character_set_client=gbk;

重点在于set character_set_client=gbk,这句代码决定MySQL如何解析对php传输的数据,这里设置了gbk,所以MySQL在处理数据时,将%df%5c看作一个中文字符,%5c仍存在,但反斜杠已经不存在,而单引号逃逸了。

mysql_real_escape_string函数

mysql_real_escape_string函数和mysql_set_query函数配套使用,可以防御宽字节注入,这是方法之一。怎么防御的?

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query('set names gbk', $conn);
	
	mysql_set_charset('gbk');
	$name=mysql_real_escape_string($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
这里虽然%27前面的反斜杠仍被“吞掉”了,但是MySQL并没有报错,因为这里显示的数据这是浏览器解析的结果。另外,mysql_real_escape_string()的转义作用会考虑到mysql_set_character()设置的字符集,所以这里%df前面也插入了%5c。当MySQL处理这份数据时,两个%5c被去掉(这里的意思是反斜杠已经起到转义作用),而在插入时,%df%27作为gbk的一个字符插入,这不是一个gbk字符,因此变成一个"?"。
在这里插入图片描述
如果传输的数据是%df%df%27,mysql_real_ecsape_string()将%df%df当作一个中文字符,不添加反斜杠转义,就变成%df%df%5c%27。

也就是说,mysql_real_escape_string()考虑mysql_set_charset()的意思是将无法正常解析的字符前面加反斜杠,能够正常解析的字符不加反斜杠。这样一来,从插入数据的结果来看,单引号要么被转义,要么被吞掉,而不会逃逸。(实际上都是反斜杠起到转义作用了)

character_set_client=binary

设置character_set_client=binary也能防御,这是方法之二。

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query("set character_set_connection=gbk,
				character_set_result=gbk,
				character_set_client=binary", $conn);
	
	$name = $_GET['name'];
	$name = addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	$result = mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:

设置了character_set_client=binary之后,MySQL对php传输的数据就看成二进制形式。

这里的 binary 具有迷惑性,起初我以为二进制数据就不是字符了,%27失去了单引号的闭合作用,所以无论传输什么数据都不会破坏sql语句,但其实不是,这些数据只是被当成一个个单字节字符处理。换言之,现在%27前面的反斜杠一定会起到转义作用,它再也不会被多字节“吞掉”了。这是character_set_client=binary防御宽字节注入的原理。

因此,%df无法插入,变成"?"。
在这里插入图片描述
再插入一个%df:
在这里插入图片描述
两个%df都被转换成"?"。

iconv函数

iconv函数引起的问题是PHP层的问题,如果设置了character_set_client=binary后,多此一举添加了iconv函数就会出问题。

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query("set character_set_connection=gbk,character_set_result=gbk,character_set_client=binary", $conn);
	
	$name = $_GET['name'];
	$name = addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$name = iconv('gbk','utf-8',$name);          // 字符串由gbk编码转换成utf-8编码
	echo urlencode($name).'<br>'.;
	$sql = "insert into user value('{$name}', 'test')";
	$result = mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
这里的思路是利用 iconv 函数转换编码的时候将反斜杠吞掉。%df%5c是gbk字符,转换成utf-8编码后,已经失去%5c了,%27逃逸。

为什么不是在字符串转换编码的过程,生成一个%5c转义掉%27前面的反斜杠?因为utf-8编码除了第一个字节外,后面的字节都是以 10 开头,而 %5c 是 01011100 ,所以一个中文字符无法在gbk转utf-8后得到一个%5c。

将iconv()的两个“字符集”参数换一下位置:

	$name = iconv('utf-8','gbk',$name);          // 字符串由gbk编码转换成utf-8编码

执行结果:
在这里插入图片描述
结果分析:
这里的思路是利用 iconv 函数转换编码的时候生成一个%5c。将后面紧跟着的%5c转义造,成%27逃逸。

这里为什么不是把%5c吞掉?还是那个原因,utf-8的低位字节范围没有%5c,所以不能够输入两个字节%xx%xx,将紧跟着的%5c吞掉。另外,gbk的低位字节范围中存在%5c,所以能够生成一个%5c。

总结:
总的来说,不同系统的编码不一致就会出现问题。

friEnd`
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字节注入
weixin_45253622的博客
03-18 6469
字节注入 漏洞原理 字节注入是由于不同编码中中英文所占字符的不同所导致的。 通常来说,在GBK编码当中,一个汉字占用2个字节。而UTF-8编码中,一个汉字占用3个字节。 在一般的sql注入时,参数id=1在数据库查询时是被单引号包围的。当传入id=1’时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在sql注入漏洞的。 不过有个特例,就是当数据库的编码是GBK时,可以使用字节注入字节的格式是在地址后先加一个%df ,再加单引号,因为反斜杠的编
字符注入详解与实战
hl1293348082的专栏
04-06 1662
字节注入源于程序员设置MySQL连接时的错误配置,如下: set character_set_client=gbk ,这样的配置会引发编码转换从而导致绕过某些防护实现注入漏洞。具体分析一下原理: 正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\'; 若存在字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数据库查询语句进行GBK多字节编码,即一个中文占用两个字节,一个英文同样占用两个字
8.字节注入
kinght的博客
08-26 457
title: 8.字节注入 date: 2020-08-18 14:05:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入 在一些特定的场景,常规语句不能直接进行注入,但是因为程序代码开发存在一些瑕疵,我们可以使用PHP的一些特性进行注入,比如这次的字节注入 字节注入原理 什么是字节? 如果一个字符其大小为1个字节的称为窄字节,如果为两个字符的就被称为字节 一个字节有八个bit,有255种组成方式,英文由于只有24个字.
mysql character_set_client 设置_关于mysql字符集设置了character_set_client=binary 在gbk情况下会出现表描述是乱码的情况...
weixin_32202001的博客
01-19 677
mysql链接建立之后,通过如下方式设置编码:mysql_query("SET character_set_connection=" . $GLOBALS['charset'] . ",character_set_results=" . $GLOBALS['charset'] . ",character_set_client=binary", $this->link);然而建立出来的表结构描...
关于mysql字符集设置了character_set_client=binary 在gbk情况下会出现表描述是乱码的情况...
sinat_41765677的博客
01-05 664
关于mysql字符集设置了character_set_client=binary 在gbk情况下会出现表描述是乱码的情况 摘要:       今天在处理bug的时候,又发现一个奇怪的问题,在设置mysql的编码为gbk的情况下,发现建立出来的表,凡是表结构无论是字段还是表结构描述是中文的时候,建立出来的表结构描述是乱码,经过排查原来是character_set_clien...
第十九节 字节SQL注入-01
09-15
字节注入代码分析 在字节SQL注入攻击中,攻击者可以使用 Php 的addslashes 函数来转义特殊字符,例如将“'”转义为“%DF\'”。然后,在MYSQL中,这个字符将被认为是一个合法的字符,从而 bypass 数据库的安全...
易语言字节集文件的十六进制和文本的读取操作
07-17
而“文本的读取操作”则涉及到从字节集中提取可读的文本信息,这可能需要对字节集进行解码,例如从UTF-8或GBK编码字节集中还原出文本。 “文件字节集翻页”通常是指在大量字节集中分块读取数据,以避免一次性加载...
高阶JAVA篇-深入解读字符集.pptx.pptx
最新发布
12-21
字符集是字符和字节之间关系的规范,它定义了如何将字符转换为字节流以便存储和传输。在Java中,字符编码涉及了多种类型,如ASCII、ISO-8859-1和UTF-8等。 ASCII是最基础的7位字符编码,它只包含128个基本的拉丁...
php截取字符串之截取utf8或gbk编码的中英文字符串示例
12-18
同样,`mb_strlen()`函数虽然可以基于指定的字符集计算字符串长度,但在微博的场景下,仍然无法直接满足需求,因为它会将每个中文字符视为1个单位。 为了解决这个问题,我们可以编写自定义的字符串长度计算函数,以...
浅析白盒审计中的字符编码及SQL注射1
08-03
GBK编码是中国大陆广泛使用的多字节字符集,能够表示大部分中文字符,每个汉字通常占用2个字节。相比之下,UTF-8编码是一种更通用的Unicode编码方式,对于中文字符,它需要3个字节。 在PHP中,字符编码的不同会影响...
字节的深入了解
→_→
05-07 6737
01 背景知识 字符集 在了解字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 latin1编码:单字节编码 gbk编码:使用一字节和双字节编码,0x00-0x7F范围内是一位,和 ASCII 保持一致。双字节的第一字节范围是0x81-0xFE UTF-8编码:使用一至四字节编码,0x......
关于MySQL中的8个 character_set 变量说明
热门推荐
小异常的博客
04-12 7万+
本篇会简单介绍在 MySQL 中关于 8个 character_set 变量的基本作用。   使用下列SQL语句可以查看 MySQL中8个 character_set 变量 SHOW VARIABLES LIKE '%char%';
MySQL乱码处理及字符集相关介绍
weixin_30449239的博客
05-28 658
问题引入: 我们经常会遇到一些向MySQL数据库中插入中文,但是select出来的时候,却发现是乱码的情况。如我们向表a出入这样一段记录:i insert into a values('你好helloworld你好','helloworld'); 可能当你访问它的时候,会发现他的结果变成如下图所示: 那怎么样才能解决这种问题呢?通过下文对MySQL中字符...
字节注入详解
xyx107的博客
08-11 5172
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
mysql字符集小结
冰刀(skate)
04-09 1万+
author:skate time:2013/04/09 mysql字符集小结   今天同事阿杰兄发现内部一台mysql测试服务器乱码,以前也记录过关于字符集的,今天再补充下   修改mysql的字符集和默认存储引擎 http://blog.csdn.net/wyzxg/article/details/7581415   查看库现有的字符集: mysql> show vari
MySQL的编码机制
星星的故事
12-05 468
一般在MYSQL使用中文查询  都是用  set NAMES charactercharacter_set_client ,这是用户告诉MySQL查询是用的什么字符集。 character_set_connection ,MySQL接受到用户查询后,按照character_set_client将其转化为character_set_connection设定的字符集。 characte
MySQL 中关于 8个 character_set 变量的基本作用
chunqiqian1285的博客
07-10 1379
简单介绍在 MySQL 中关于 8个 character_set 变量的基本作用。    使用下列SQL语句可以查看 MySQL中8个 character_set 变量 SHOW VARIABLES LIKE '%char%'; 8个 character_set 变量:   一、char...
sql注入字节注入
07-28
字节注入是一种特定于某些数据库和编码方式的注入攻击方法。它利用了某些编码方式对特殊字符的处理不当,从而绕过了应用程序对输入进行过滤和验证的机制。攻击者可以通过插入字节字符来篡改SQL语句或绕过认证。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值